Представляешь,

Создатели Ruff и uv теперь займутся безопасностью Python-зависимостей Astral — команда, которая уже переписала линтер и пакетный менеджер Python до состояния «теперь это стандарт» — запускает новое направление: аудит зависимостей и обнаружение вредоносных пакетов. Supply chain для Python — давно не абстрактная угроза: тайпсквоттинг, внедрение в популярные пакеты, малварь в PyPI встречаются регулярно. Логика здесь понятна: если вы контролируете инструмент установки пакетов, вы видите весь граф зависимостей раньше, чем он попадёт в прод. uv уже стал точкой входа для миллионов Python-проектов — добавить туда проверку безопасности технически проще, чем строить отдельный сканер. Python-экосистема медленно, но верно обретает тот минимум инфраструктуры, который в других языках появился лет десять назад.

Little Snitch появился на Linux — и он бесплатный Если на Mac вы привыкли видеть, куда именно стучится каждое приложение, на Linux долгое время приходилось обходиться грубыми инструментами уровня iptables или tcpdump. Теперь у Objective Development есть ответ: Little Snitch для Linux вышел в публичный доступ, работает на eBPF и показывает сетевую активность каждого процесса в реальном времени. Управление — через веб-интерфейс на localhost:3031, есть поддержка блоклистов и правила на уровне приложений. Сам инструмент бесплатен, GUI-часть открыта под GPLv2, сетевой демон остаётся проприетарным. Это честная модель для продукта, который двадцать лет существовал только на macOS. macOS-пользователи годами платили за то, что на Linux теперь можно поставить даром.

Microsoft заблокировала разработчиков VeraCrypt и WireGuard — без предупреждения Если вы пользуетесь VeraCrypt, WireGuard, MemTest86 или Windscribe на Windows — знайте: их авторы не могут выпустить тебе обновления. Microsoft заблокировала аккаунты этих разработчиков в Windows Hardware Program из-за непройденной верификации. О том, что верификацию нужно было пройти, никто не уведомлял. Без подписи Microsoft — ни патчей, ни обновлений. Мейнтейнер WireGuard спросил прямо: «А что если бы нашли критическую RCE и мне нужно было срочно обновить пользователей?» Хороший вопрос. Ответа пока нет. Разблокировка началась только после медийного шума — VP Microsoft Скотт Хансельман лично написал разработчикам. То есть механизм решения проблемы — это Twitter, а не поддержка. Безопасность open-source инструментов на Windows теперь зависит от того, заметит ли нужный вице-президент нужный твит вовремя.

Xilem собрал 5 000 звёзд — самый серьёзный GUI-фреймворк на Rust Если вы пробовали сделать десктоп на Rust, знаете боль: либо тащишь C++ зависимости, либо мучаешься с обёртками, которые ломаются при каждом обновлении. Xilem идёт по третьему пути — чистый Rust, GPU-рендеринг через Vello и wgpu, никаких биндингов. Архитектура в духе SwiftUI и React: передаёшь состояние в функцию, она возвращает UI, фреймворк сам определяет, что изменилось, и обновляет только нужные элементы. Для Rust-экосистемы, где GUI традиционно был слабым местом, — заметный шаг вперёд. За проектом стоит Раф Левьен — бывший инженер Google Fonts и автор Vello. API ещё не стабилизирован, но архитектура и команда внушают достаточно доверия, чтобы присмотреться уже сейчас.

Docker игнорирует плагины авторизации, если запрос достаточно большой CVE-2026-34040 — новая уязвимость в Docker Engine с оценкой 8.8, и она достаточно элегантна, чтобы расстроиться. Если HTTP-запрос к API весит больше 1 МБ, Docker просто не передаёт тело запроса плагину авторизации. Плагин видит пустой запрос и разрешает его. Любой плагин, любой запрос. В результате атакующий запускает привилегированный контейнер с root-доступом к файловой системе хоста. При этом, как отмечают исследователи, этим можно воспользоваться автоматически — ИИ-агенты вроде OpenClaw способны эксплуатировать баг без единой строчки вредоносного кода. Особенно обидно, что это не первый круг. CVE-2024-41110 с оценкой 10.0 закрывали ещё в июле 2024-го, и закрыли не до конца. Фикс — Docker Engine 29.3.1. Если обновиться сейчас нельзя: переходите в rootless-режим и ограничивайте доступ к Docker API.

Обновите Docker: новая CVE обходит любой плагин авторизации Вышла CVE-2026-34040 с оценкой CVSS 8.8, и она красивая в своей простоте. Docker Engine при получении HTTP-запроса больше 1 МБ тихо отрезает тело перед отправкой в AuthZ-плагин. Плагин видит пустой запрос, не находит ничего подозрительного и пропускает его. Любой плагин. Без исключений. Самое обидное — это недоделанный фикс CVE-2024-41110 от июля 2024 года. То есть проблему уже чинили, но, видимо, не до конца проверили граничные случаи. Классика. Отдельный бонус: ИИ-агенты для кодинга могут эксплуатировать эту уязвимость автоматически — им даже не нужно подсовывать вредоносный код, достаточно обычного взаимодействия с Docker API. Фикс уже есть в Docker Engine 29.3.1, а пока не обновились — переходите на rootless-режим и ограничьте доступ к API. В общем, если ваш плагин авторизации «всё проверяет» — попробуйте отправить ему запрос потяжелее. Вдруг он просто вежливо отойдёт в сторону.

Исследователь Anthropic нашёл 23-летнюю уязвимость в ядре Linux с помощью Claude Code На конференции по безопасности ИИ [un]prompted 2026 Nicholas Carlini поделился тем, как нашел Heap buffer overflow в NFS-драйвере ядра Linux. Уязвимость находилась там с 2003 года, но исследователь нашел ее за пару часов с помощью Claude Code и bash-скрипта на 7 строк. Годами поиск уязвимостей в ядре Linux требовал написания специализированных фаззеров или ручного аудита. Карлини сделал иначе — написал bash-скрипт, который перебирает файлы исходного кода ядра и передаёт каждый в Claude Code с промптом: «Ты участвуешь в CTF (соревнование по безопасности). Найди уязвимость. Подсказка: смотри файл X». Помимо этой уязвимости, исследователь подтвердил еще пять в подсистемах nfsd, io_uring, futex и ksmbd. Подробности: https://tproger.ru/news/issledovatel-anthropic-nawyol-23-letnyuyu-uyazvimost-v-yadre-linux

Абсолютно проклято: разраб сделал будильник, который будет орать до тех пор, пока не зайдешь в туалет. Пользователь Reddit показал, как он пытается поднять себя по утрам с постели. Для него уже не работают другие креативные будильники, где, например, нужно решить математическую задачку. Он решал и снова ложился спать. Он понял: нужно что-то, что в любом случае заставит его встать с кровати. Так ему пришла идея этого будильника. Чтобы выключить его, нужно встать, дойти до туалета и сфотографировать его. Заснуть после этого намного сложнее. Ваши варианты, как можно хакнуть систему?

В России глобальный сбой интернета Легло очень многое. По сообщениям на DownDetector не работает СБП, Сбербанк, Т-Банк, ВТБ и множество других сервисов. У админа, например, лёг Ростелеком. Даже телефон поддержки провайдера не работает. Предварительно, причиной сбоя в работе банковских приложений стали блокировки IP-адресов, используемых в работе банковской инфраструктуры. Будем следить за ситуацией и обновлять информацию.

Microsoft переводит все приложения Windows 11 на нативный код Это ответ на многолетнюю критику: пользователи и разработчики жаловались, что встроенные приложения Windows 11 работают медленно, занимают много памяти и выглядят непоследовательно — потому что многие из них были построены на веб-обёртках (WebView, PWA (Progressive Web App), Chromium). Теперь Microsoft обещает «100% native». Команда только собирается — Руди Хьюн активно набирает разработчиков, этим он поделится в X. Учитывая масштаб задачи (перевод нескольких приложений на новый стек), первые результаты появятся не раньше конца 2026 года.